1 पॉइंट द्वारा GN⁺ 2023-06-29 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ब्रिटेन का Online Safety Bill iMessage, WhatsApp और Signal जैसे एन्क्रिप्टेड मैसेजिंग ऐप्स से child abuse images स्कैन कराने की मांग कर सकता है, इसलिए Apple ने बिल में संशोधन की मांग की है
  • बिल Ofcom को प्रमाणित तकनीक के ज़रिए मैसेज कंटेंट स्कैन करने का निर्देश देने की शक्ति देता है, और सरकार का कहना है कि यह कड़े privacy safeguards पूरे होने पर अपनाया जाने वाला “अंतिम उपाय” है
  • Apple ने जोर देकर कहा कि end-to-end encryption पत्रकारों, मानवाधिकार कार्यकर्ताओं, राजनयिकों और आम नागरिकों को निगरानी, identity theft, fraud और data breach से बचाता है
  • Signal और WhatsApp का कहना है कि वे encryption privacy को कमजोर करने वाली मांगों को नहीं मानेंगे, और Signal ने कहा है कि मजबूर किए जाने पर वह ब्रिटेन से हट जाएगा
  • civil society, academia और cyber experts ने चेतावनी दी है कि यह कदम ब्रिटेन से आगे बढ़कर अंतरराष्ट्रीय digital communication services की security trust को भी हिला सकता है

Online Safety Bill को लेकर encryption टकराव

  • Apple ने आलोचना की कि Online Safety Bill की शक्तियों का इस्तेमाल iMessage, WhatsApp और Signal जैसे एन्क्रिप्टेड मैसेजिंग टूल्स पर child sexual abuse material स्कैनिंग थोपने के लिए किया जा सकता है
  • Apple का रुख है कि बिल में संशोधन कर end-to-end encryption की रक्षा की जानी चाहिए
  • end-to-end encryption वह तरीका है जिसमें भेजने वाले और पाने वाले के अलावा कोई भी मैसेज नहीं पढ़ सकता
  • पुलिस, सरकार और कुछ प्रमुख child protection groups का मानना है कि WhatsApp और Apple iMessage जैसे ऐप्स की encryption, law enforcement agencies और कंपनियों के लिए child sexual abuse material की पहचान करना कठिन बना देती है
  • ब्रिटिश सरकार का कहना है कि कंपनियों को अपने platforms पर child abuse रोकना चाहिए
    • उसका मानना है कि कंपनियों को end-to-end encryption तभी लागू करनी चाहिए जब वे platforms पर गंभीर child sexual abuse को रोक सकें
    • सरकार का कहना है कि वह user privacy बनाए रखते हुए child sexual abuse material के प्रसार से निपटने का समाधान कंपनियों के साथ मिलकर खोजती रहेगी
  • बिल अभी संसद से पारित होने की प्रक्रिया में है, और इसमें Ofcom को platforms को प्रमाणित तकनीक से मैसेज कंटेंट स्कैन करने का निर्देश देने की शक्ति शामिल है
    • सरकार का कहना है कि यह शक्ति “अंतिम उपाय” है और केवल तब इस्तेमाल होगी जब कड़े privacy safeguards पूरे हों

client-side scanning और उद्योग का विरोध

  • सरकार का मानना है कि एन्क्रिप्टेड मैसेजों में भी child abuse material स्कैन करने का तकनीकी समाधान संभव है
  • कई तकनीकी विशेषज्ञों का मानना है कि इसके लिए client-side scanning software चाहिए, जो मैसेज भेजे जाने से पहले फोन या कंप्यूटर पर उसकी जांच करे
  • आलोचकों को चिंता है कि client-side scanning मैसेज privacy को बुनियादी रूप से कमजोर कर देता है
  • Apple ने 2021 में iCloud पर upload होने से पहले iPhone photos में abuse content स्कैन करने की योजना घोषित की थी, लेकिन विरोध के बाद उसे वापस ले लिया
  • Signal और WhatsApp समेत कई मैसेजिंग platforms पहले ही कह चुके हैं कि encryption messaging systems की privacy कमजोर करने वाले निर्देशों को वे नहीं मानेंगे
    • Signal ने फरवरी में कहा था कि अगर एन्क्रिप्टेड मैसेजिंग ऐप्स की privacy कमजोर करना अनिवार्य किया गया तो वह ब्रिटेन से “walk” कर जाएगा
  • Apple के जुड़ने से सबसे अधिक इस्तेमाल होने वाले कुछ एन्क्रिप्टेड ऐप्स अब बिल के इन प्रावधानों के विरोध में एक साथ खड़े दिखाई दे रहे हैं

खुला पत्र और security trust को लेकर चिंता

  • digital civil liberties group Open Rights Group ने टेक मंत्री Chloe Smith को एक खुला पत्र भेजा
    • इस पत्र पर देश-विदेश के 80 से अधिक civil society groups, academics और cyber experts ने हस्ताक्षर किए
    • इसमें चेतावनी दी गई कि ब्रिटेन पहला उदार लोकतांत्रिक देश बन सकता है जो end-to-end encryption से सुरक्षित chats सहित निजी chat messages की नियमित स्कैनिंग की मांग करे
    • चूंकि 4 करोड़ से अधिक ब्रिटिश नागरिक और दुनिया भर में 2 अरब लोग ऐसी services का इस्तेमाल करते हैं, इसलिए यह सिर्फ ब्रिटेन ही नहीं बल्कि अंतरराष्ट्रीय स्तर पर भी digital communication services की security के लिए बड़ा जोखिम हो सकता है
  • सरकार और सैन्य ग्राहकों को E2EE products देने वाली ब्रिटिश tech company Element को चिंता है कि एन्क्रिप्टेड मैसेज privacy को कमजोर करने वाले बिल के कदम, ब्रिटिश कंपनियों के security products पर ग्राहकों का भरोसा कम कर सकते हैं
  • इस बात की उम्मीद भी बढ़ रही है कि बिल के वे हिस्से बदले जा सकते हैं जिनकी आलोचना संभावित अनिवार्य स्कैनिंग के लिए की जा रही है
    • ये बदलाव कुछ दिनों में जारी होने वाले amendments package में शामिल हो सकते हैं
    • लेकिन विवरण क्या होंगे, या क्या वे campaign groups की चिंताओं को दूर करेंगे, यह अभी स्पष्ट नहीं है

1 टिप्पणियां

 
GN⁺ 2023-06-29
Hacker News की राय
  • अगर तर्क यह है कि end-to-end encryption देने के लिए platform को साथ-साथ बच्चों के भयानक यौन शोषण को रोक पाने में सक्षम होना चाहिए, तो यह वैसा ही तर्क है कि दीवारों वाले घरों पर भी प्रतिबंध लगा देना चाहिए अगर बिल्डर यह गारंटी न दे सके कि उसके अंदर किसी बच्चे को नुकसान नहीं पहुंचेगा

    • उससे भी ज्यादा यह ऐसा है कि किसी एक घर में कोई बुरा व्यक्ति हो सकता है, इसलिए निजी घरों के ताले प्रतिबंधित कर दिए जाएं
      यह बेतुका और पागलपन भरा विचार है
    • बाल-यौन अपराधी भी कार चलाते हैं
    • बचपन में जब Dutroux केस की खबर सुनी थी, तो याद है मैंने सोचा था कि जिन इमारतों में ऐसी चीजें होती हैं, उनका ढह जाना ही बेहतर होगा
    • कुछ हद तक सहमत हूं, लेकिन scale पूरी तरह अलग है
      यह काला-सफेद मुद्दा नहीं है, और मुझे पता है कि कई लोग इस बात से असहमत होंगे
  • AI image manipulation, autocomplete और कपड़े हटाने वाली images की वजह से CSAM कहीं ज्यादा अजीब होने वाला है
    Japan में नाबालिगों के चित्रण वाली hentai रखना और बेचना कानूनी है, इस बारे में एक केस law भी है: https://en.wikipedia.org/wiki/United_States_v._Handley
    अगर कोई https://thispersondoesnotexist.com/ जैसी जगह से किसी बच्चे की image ले और उससे nude या sexual activity वाली image generate करे तो क्या होगा? ऊपर वाले तर्क जैसा ही है कि बच्चा भी असली नहीं और sexual activity भी असली नहीं
    बड़ा सवाल यह है कि “कैसे पता चले कि यह image किसी बच्चे के बलात्कार का सबूत है या बस AI-generated content है”
    मैं धीरे-धीरे इस राय की ओर झुक रहा हूं कि “CSAM अपराध का सबूत है, अपने-आप में अपराध नहीं होना चाहिए”
    हालांकि CSAM रखने पर strict liability हटाने की बात करूं तब भी, puberty से पहले के बच्चों का बलात्कार करने वाले इंसान के लिए मैं मौत की सजा का समर्थन करता हूं

    • अपराध-स्थल के सबूत के रूप में देखें, तो सिर्फ किसी भी वजह से possession के कारण दशकों की सजा वाला गंभीर felony बन जाना काफी अजीब है
      बाल-यौन अपराधी खुद ही अपराध के scene की तस्वीरें और video लेकर उन्हें internet पर share कर रहे हैं; अगर law enforcement की तरह internet detectives इन सामग्री की जांच कर सकें, तो लगता है बहुत ज्यादा child abusers आखिरकार पकड़े जाएंगे
      distribution तो जाहिर है illegal ही रहना चाहिए, लेकिन सिर्फ possession पर प्रतिबंध human traffickers को नहीं रोकेगा, और समस्या हल करने में बड़ी मदद कर सकने वाली amateur investigative manpower को खत्म कर देगा
      इन्हीं लोगों ने कई cold-case murders सुलझाए हैं जिन्हें police भी नहीं सुलझा पाई थी
      सोचें तो यह थोड़ा डरावना भी है। दूसरे अपराध-स्थल के सबूतों को इस तरह protect नहीं किया जाता
      क्या किसी के चाकू मारे जाने, गोली लगने या सिर काटे जाने की photos/videos रखना illegal है? ऐसे material से sexual gratification पाने वाले लोग भी निश्चित ही होंगे, लेकिन ऐसे material के फैलने पर ज्यादा परवाह नहीं की जाती
      ऐसा लगता है जैसे सत्ता में बैठे लोग सच में नहीं चाहते कि आम जनता जाने कि इसके पीछे कौन है। हम पहले से जानते हैं कि बहुत अमीर और ताकतवर लोग अक्सर child sex trafficking rings में शामिल पाए जाते हैं
      AI image generation इसे और ज्यादा खतरनाक और हास्यास्पद बना देती है। अब वह समय आ रहा है जब कोई local तौर पर Stable Diffusion जैसी चीज से ऐसी images बना सकता है जो CSAM जैसी दिखती हों लेकिन उनमें असली बच्चा न हो, और फिर remote तरीके से या मेरे घर में कहीं SD card गिराकर उन्हें मेरी संपत्ति में डाल दे, तो मुझे दशकों की सजा की जिम्मेदारी झेलनी पड़ सकती है
      उम्मीद करनी होगी कि आपके दुश्मन न हों
    • उद्धृत केस law केवल US federal law पर लागू होता है
      ऐसे मामलों के बाद America के कई states ने CSAM के computer-generated depictions पर प्रतिबंध लगा दिया, इसलिए computer-generated images या child sex dolls देश के बड़े हिस्से में allowed नहीं हैं
      अगर वास्तविक बच्चों के शामिल न होने वाली ऐसी चीजों तक access हो, तो रुचि रखने वाले लोगों की बड़ी संख्या वास्तविक अपराध ज्यादा करेगी या कम, यह मुझे नहीं पता, इसलिए फैसला नहीं दे सकता
      कुछ लोगों में यह craving कम करेगी, और कुछ में उसे और बढ़ाएगी। मैं psychologist नहीं हूं
    • CSAM AI से जुड़े articles अभी बस आने शुरू हुए हैं
  • क्या Apple ने कुछ समय पहले ऐसी photos के लिए on-device scanning की सिफारिश नहीं की थी?
    अब उसका विरोध कर रहा है, यह अच्छा है, लेकिन इसे खुद implement करने की उसकी पिछली कोशिश की वजह से समझना मुश्किल है कि वह कितना sincere है

    • मेरे हिसाब से Apple ने CSAM से निपटने की योजना इसलिए बनाने की कोशिश की थी ताकि UK जैसी governments इसी तरह की malicious logic को आगे बढ़ाने से पहले ही रोका जा सके
      UK child protection groups तक का इस्तेमाल करके end-to-end encryption तोड़ने के अपने लक्ष्य को भावनात्मक और सामाजिक वजन दे रहा है
    • ऐसा नहीं था। यह कानून से forced नहीं था, बल्कि opt-in तरीका था
      वह system सिर्फ iCloud पर upload की जाने वाली images पर काम करने के लिए design किया गया था, device के अंदर मौजूद किसी भी image पर नहीं
      processing में इस्तेमाल होने वाली receipts upload process के हिस्से के रूप में generate होती थीं, और device या server में से कोई भी अकेले, जब तक दोनों cooperate न करें, independently उपयोगी जानकारी पता नहीं कर सकता था
      यह एक दिलचस्प तरीका था जिसमें Apple ने privacy को maximize करने के लिए काफी सोच-विचार किया था
      लेकिन लोगों ने details पढ़े बिना कल्पना कर ली कि यह कहीं ज्यादा सरल तरीके से काम करता है, और इसने यह उपयोगी चर्चा दबा दी कि यह असल में क्या करता है
      UK-style approach का विरोध करना चाहिए, लेकिन Apple जिस तरीके को implement करना चाहता था, उसका मैं विरोध नहीं करता
    • Apple का idea और implementation यहां विरोध किए जा रहे भयानक proposal से कहीं बेहतर, ज्यादा सुरक्षित और privacy-preserving था
    • सही है। यह सचमुच एक अजीब अचानक रुख बदलने जैसा लगता है
      Apple का असली stance क्या है?
    • Apple की device पर images को CP hashes से compare करने की योजना, government को end-to-end encryption ban के बदले एक विकल्प देने की बहुत reasonable कोशिश थी
      जैसे article में government spokesperson ने कहा कि “companies को end-to-end encryption तभी implement करना चाहिए जब वे अपने platforms पर बच्चों के भयानक यौन शोषण को साथ-साथ रोक सकें,” Apple ने दूसरा हिस्सा करने की कोशिश की ताकि उसके पास government से end-to-end encryption regulation रोकने की मांग करने का आधार हो
  • तकनीकी कर्मचारियों को हर जगह union बनानी चाहिए और ऐसी घटिया नीतियों का सख्ती से विरोध करना चाहिए
    हम विशेषज्ञ और elite हैं, हमें पता है कि सबसे अच्छा क्या है, और यहां नेतृत्व करने की जिम्मेदारी हमारी है
    जैसे डॉक्टर बेचने के लिए अंग नहीं निकालते, और pharmacist ज़हर बनाकर नहीं देते, वैसे ही engineers को encryption backdoor नहीं बनाने चाहिए

    • “हम elite हैं” वाला विचार अच्छा है, लेकिन हकीकत में हममें से ज्यादातर नैतिक रूप से महंगी prostitutes से बेहतर नहीं हैं
      डॉक्टर भी अक्सर Big Pharma से रिश्वत लेते हैं, और कुछ डॉक्टर नए swimming pool के लिए पैसे जुटाने के मकसद से गैर-जरूरी surgeries सुझाने जैसी पागलपन भरी चीजें करते हैं
    • यह labor union से ज्यादा self-regulating professional body जैसा है
      unions employers के खिलाफ wages और working conditions के लिए लड़ती हैं, जबकि professional bodies डॉक्टरों या barristers की तरह अपने profession की सोची-समझी position का प्रतिनिधित्व करती हैं और सदस्यों को self-regulate करती हैं
    • “हम विशेषज्ञ और elite हैं और जानते हैं कि सबसे अच्छा क्या है” वाला झंडा मैं नहीं उठाना चाहता
      इसके बजाय, अगर हम non-experts को समझ आने वाली भाषा में साफ-साफ समझा सकें कि समस्या क्या है, तो यह सबके लिए बेहतर होगा
    • technology और code की बात हो तो शायद, लेकिन social impact के मामले में बिल्कुल नहीं
    • जैसे ही हम दावा करते हैं कि “हम elite हैं”, आम जनता सारा भरोसा खो देती है
      यहां appeal to authority के तरीके से नहीं जाना चाहिए
  • UK की एक और पागल, काम न करने वाली internet policy है, और असल में लागू भी नहीं होगी
    समझ नहीं आता वे बार-बार ऐसा क्यों करते हैं
    अगर वे सचमुच गंभीर भी हों, तो UK एक छोटा देश है जिसके पास US tech giants पर दबाव डालने की ताकत कम है
    इन कंपनियों के European tax base वाले Ireland जितना leverage भी नहीं है

    • UK की ताकत शायद US tech giants पर सीधे दबाव डालने से ज्यादा Five Eyes का सदस्य और उपयोगी signals-intelligence ally होने से आती है
      NSA शायद Signal इस्तेमाल करने वाले Americans की बेहतर निगरानी का तरीका चाहती हो। कैसे किया जाए? British लोगों से करवा लो
    • इसी सोच ने UK में Brexit referendum पास करवाया था
      कोई विचार कितना भी बेतुका क्यों न हो, यह सोचकर बैठे नहीं रहना चाहिए कि यह इतना मूर्खतापूर्ण है कि सच नहीं होगा
      इसे सच न बनने देने के लिए लड़ना होगा
    • यह लागू होगा
      याद रखना चाहिए कि EU और US दोनों ऐसे कानून आगे बढ़ा रहे हैं
      जल्द ही इसका विस्तार terrorist propaganda, drug dealing, और illegal protests के लिए उकसावे तक शामिल करने के लिए हो जाएगा
    • Daily Mail में “हम बच्चों की रक्षा करने की कोशिश कर रहे थे, लेकिन गैर-जिम्मेदार US tech giants ने रोक दिया” जैसी लाइन छपवाने का मौका मिल जाएगा
  • UK अजीब तरह से surveillance-friendly है
    CCTV भी ज्यादातर दूसरे देशों से बहुत पहले व्यापक रूप से फैल गया था
    Orwell British थे, इसलिए शायद उन्हें लगता है कि वे इस समस्या को अच्छे से control कर रहे हैं

    • मुझे नहीं लगता Orwell का इस मुद्दे से खास संबंध है
      British समाज कई मायनों में American समाज से बहुत अलग है, और history कुछ हद तक इसकी वजह समझाएगी
      कई European feudal societies की तरह, यह पुरानी अपेक्षा रही है कि government को citizens की देखभाल करनी चाहिए
      व्यक्तियों ने जैसा भी व्यवहार किया हो, predatory landlords से peasants की रक्षा करने वाले कानून थे, और उनका लागू होना perfect न रहा हो, फिर भी ऐसा framework था
      साथ ही लंबे समय तक local “government” या community ने homeless लोगों की देखभाल की भूमिका निभाई
      मेरा मुख्य point यह है कि जिस तरह का government distrust US में है, वैसा UK में बहुत ज्यादा नहीं है
      इसलिए government बहुत बड़ी powers रखते हुए भी, अच्छा हो या बुरा, कम से कम अपने citizens के खिलाफ उनका दुरुपयोग नहीं करेगी—ऐसा भरोसा पा सकती है
      CCTV तक सीमित रखें तो modern UK में यह असल में ज्यादातर London में केंद्रित है
      यानी UK के अधिकांश हिस्से ऐसी surveillance से ज्यादा प्रभावित नहीं होते
      और जहां तक याद है, ज्यादातर CCTV state नहीं बल्कि private entities चलाती हैं, और costs कम रखने के लिए कुछ हफ्तों के भीतर delete कर देती हैं
      असल में यह Bourne Identity जैसा मामला नहीं है, जहां police London में दौड़ते किसी व्यक्ति की real-time footage देख रही हो
      बाद में जानकारी पाने के लिए कई companies को requests और subpoenas भेजने पड़ते हैं
    • customers पर नजर रखने के लिए off-duty police को पैसे देने से CCTV सस्ता है
      private CCTV को Orwellian कहना शायद एक confused analogy है
      1984 में CCTV totalitarian government चलाती थी
    • दुनिया की आजाद और surveillance-विरोधी safe havens कही जाने वाली जगहों में भी, हर कोई doorbell cameras से record करता है और footage Amazon पर upload करता है
      और जो भी उनके घर के सामने से गुजरने की हिम्मत करे, उसका video internet पर डाल देता है
  • UK की मौजूदा ruling party 13 साल से सत्ता में है, और उसके ideas पूरी तरह खत्म हो चुके हैं
    main opposition भी “हम उन्हीं जैसे हैं, बस बेहतर करेंगे” से आगे कोई वास्तविक proposal मुश्किल से देती है
    UK के सामने मौजूद बड़े मुद्दे—debt, economy, housing, education, Brexit, democratic collapse—ऐसे हैं जिन पर लोग वास्तविक action को support नहीं करना चाहते
    इसलिए parties के पास ऐसी बेवकूफ policies या transgender लोगों को paedophiles की तरह दिखाने जैसे fake divisive issues ही बचते हैं
    इसलिए यह मुद्दा बार-बार लौटता है

    • क्या आप सचमुच मानते हैं कि Labour दोबारा सत्ता में आई तो वही agenda नहीं बढ़ाएगी?
      पिछली बार सत्ता में आए काफी समय हो गया है, लेकिन Starmer बिल्कुल वैसा व्यक्ति है जो Labour को भी बहुत पसंद रहे anti-privacy, pro-surveillance agenda को आगे बढ़ाएगा
  • UK खुद को नुकसान पहुंचाने में माहिर लगता है
    पहले Brexit, अब Online Safety Bill
    Brexit को आबादी के आधे हिस्से ने support किया था, लेकिन इस safety bill ने जनता का ज्यादा ध्यान नहीं खींचा, या शायद मैं चूक गया
    यह pattern लगता है कि किसी specific problem पर general solution लागू किया जा रहा है, जबकि उस general solution का blast radius मूल intended specific problem से असमान रूप से कहीं ज्यादा बड़ा है

    • Online Safety Bill affordable housing बनाने की तुलना में कहीं आसान उपलब्धि है, इसलिए लगता है कि वे “achievable” परिणामों पर focus कर रहे हैं, भले ही वे परिणाम वास्तव में बहुत important न हों
      वैसे, मैं Online Safety Bill के खिलाफ हूं
    • Snooper's Charter को भी नहीं भूलना चाहिए
    • मैंने Brexit के खिलाफ vote किया था, लेकिन अब भी EU-sceptic हूं
      दोनों मुद्दों की तुलना नहीं की जा सकती
  • Apple पर privacy protection के मामले में भरोसा नहीं किया जा सकता
    कोई नहीं जानता कि उसका software असल में क्या करता है
    सब कुछ closed source है
    विज्ञापनों में privacy protection पर जोर देने का मतलब यह नहीं कि वह सच में users की privacy की रक्षा करता है

    • नतीजे तो यही साबित करते लगते हैं
      federal agencies और law enforcement agencies लगातार शिकायत करती रहती हैं कि वे Apple users के data तक access नहीं कर पातीं
      यहां तक कि इस पर lawsuits भी करती हैं
      इसलिए लगता है कि यह काफी अच्छी तरह काम कर रहा है
    • इसका इस प्रस्ताव का विरोध करने से क्या संबंध है?
    • यह सही है कि Apple software का audit नहीं किया जा सकता, लेकिन किसी और के software का भी audit नहीं किया जा सकता, इसलिए समझ नहीं आता कि यह सिर्फ Apple की ही कमी क्यों है
      साथ ही, Apple ने व्यापक रूप से advertise किया है कि वह privacy protection के लिए प्रतिबद्ध है, उसने कभी बेईमान होने का कोई संकेत नहीं दिया, हमसे झूठ बोलकर उसे कोई फायदा भी नहीं होगा, और अगर झूठ पकड़ा गया तो उसके brand को अकल्पनीय नुकसान होगा
  • यह वैसा ही है जैसे कहा जाए कि piracy के लिए ISP को जिम्मेदार ठहराया जाना चाहिए
    2000 के दशक की शुरुआत से common carrier status की वजह से ऐसा नहीं हुआ
    technology हमेशा अपने द्वारा carry किए जाने वाले content से अलग बने रहने का तरीका खोज लेती है
    बेहतर secret messaging की अवधारणा तकनीकी रूप से संभव है—ऐसा कोई research paper आने के 5 मिनट बाद ही, लगता है ऐसी encryption exposure policies कानून के रूप में लागू हो जाएंगी